Entenda como acontece o vazamento de dados públicos
Uma denúncia do jornal Folha de São Paulo apontou um comércio ilegal de cadastros do SUS, Receita e INSS. Entenda o vazamento de dados.
Publicado em: 07 de fevereiro de 2022.
Os dados de um cidadão constituem a estatística populacional de um país. É a partir do agrupamento das informações sobre o perfil social que as políticas públicas se desenvolvem. Por isso, os dados públicos são valiosos para um governo. Porém, o cibercrime tem demonstrado a fragilidade da gestão das informações da população, considerando episódios de vazamento de dados públicos.
Um destes vazamentos foi denunciado pelo jornal Folha de São Paulo em dezembro de 2021. A reportagem indica que criminosos estão vendendo dados pessoais de milhares de cidadãos brasileiros na Deep Web. As páginas, acessadas pelos jornalistas, dão acesso a informações do CadSUS, da Senatran (Secretaria Nacional de Trânsito), da Receita Federal, do INSS (Instituto Nacional de Segurança Social), da empresa privada Boa Vista e do Sinarm (Sistema Nacional de Armas), da Polícia Federal.
O acesso aos sites foi dado por meio da compra de login e senha que permite navegar nos “Painéis” de dados públicos. Apesar do acesso ser na Deep Web, ou seja, na parte da internet não rastreável pelos algoritmos e de difícil localização e rastreabilidade, a venda é feita em sites de redes sociais como o Facebook.
Leia também | Deep Web: o que é e por que dados pessoais são vendidos lá
A reportagem comprova a denúncia com prints das páginas dos painéis. Os jornalistas acessaram dois painéis. Com dados de voluntários, os repórteres testaram o funcionamento e a atualidade do site. Foram identificados cadastros com nome completo, endereço, CPF, RG, nome dos pais e irmãos, renda aproximada, foto e assinatura da CNH, benefícios sociais entre outros.
Na conversa pelo Facebook, os vendedores explicaram para os repórteres – não identificados – que os dados são extraídos da base cadastral do governo por meio de logins de funcionários dos órgãos públicos, e que as atualizações são permanentes e periódicas. O valor para acessar os painéis pode ser de R$ 50 por semana a R$ 200 por mês.
Quais são os riscos dos vazamentos de dados para o cidadão?
O delegado de polícia e mestre em Direito, Emerson Wendt, afirma que o cibercrime tem visado mais as empresas, ainda que também lese o consumidor. “Estes criminosos roubam dados, por login inautêntico ou invasão para chantagear e obter vantagens financeiras. Se a empresa ou órgão público não cede, as informações são vazadas”.
O delegado explica que o vazamento de dados estabelece uma cadeia de cibercrimes. No caso denunciado pelo jornal Folha de São Paulo, há crimes previstos no código penal para o funcionário público que vende ou empresta a senha, para o intermediário que armazena o arquivo em um site na Deep Web, para quem vende o acesso e para quem acessa.
A cadeia de crimes ainda pode levar à responsabilização do Estado, pois é aquele que deveria garantir a segurança dos dados. “A Autoridade Nacional de Proteção de Dados é uma entidade que tem autonomia e independência e tem um protocolo para averiguar responsabilidades, que podem recair sobre empresas privadas ou algum órgão público”, explica Wendt.
O advogado especialista em LGPD e pesquisador da Associação Data Privacy Brasil de Pesquisas, Pedro Saliba, afirma que as suspeitas de acesso através de login e senha de servidores públicos indicam que as políticas de segurança da informação não estão sendo aplicadas como deveriam. “Além disso, a arquitetura dos sistemas precisa ser capaz de identificar como ocorreu o acesso indevido, para que a responsabilidade recaia sobre quem cometeu o ato ilícito.”, explica o especialista.
Saliba explica que pelas diretrizes legais da lei, é necessário criar uma arquitetura de sistemas combinando cibersegurança, promoção de treinamentos e auditorias rotineiras tanto no setor empresarial como no público. “Também podem adotar técnicas como a anonimização ou pseudonimização dos dados, dificultando a identificação de indivíduos quando houver acessos indevidos”, aponta Saliba como medida preventiva de minimização de riscos.
O que fazer se meus dados vazaram na Deep Web?
O risco da exposição dos dados pessoais do cidadão como neste caso denunciado pela imprensa tem um agravante porque visibiliza conjuntos compostos de informação. Os dados pessoais completos de um indivíduo nas mãos criminosas podem ser usados para novas ações ilícitas.
A manipulação pode provocar prejuízos financeiros importantes, caso os dados permitam a falsificação de documentos ou o uso de documentos em operações remotas para assinaturas de serviços, compra de produtos, solicitação de empréstimos, financiamentos entre outros.
Leia também | Golpe do empréstimo: tipos mais comuns e como se prevenir
Saliba pondera que este incidente de segurança lida com diversas bases de dados, muitas delas controladas por órgãos públicos. O especialista explica que os dados em questão são tratados em bases legais, como a do SUS e da Receita, independente do consentimento e escolha do titular.
“Por exemplo, a base do sistema nacional de armas é necessária para o controle do porte de acordo com a legislação vigente. Para o INSS cumprir suas funções e distribuir benefícios, precisa realizar o tratamento de informações como os dados bancários.”, ou seja, não é uma escolha do cidadão.
“Se cada pessoa precisar ativamente saber por onde circula seu nome, CPF, endereço, score de crédito, estaremos constantemente nessa tarefa”, conclui Saliba. Para o pesquisador, o mais importante é prevenir que casos similares aconteçam. “Incidentes de segurança são previstos – não existe sistema sem risco de invasão, vazamento etc. -, então, o que deve predominar é a mitigação de riscos.”
Como denunciar uso indevido ou vazamento de dados?
O monitoramento de CPF e informações pessoais tem se tornado obrigatório para o cidadão brasileiro neste ambiente de vazamento de dados. O ambiente de insegurança digital gera riscos importantes quando expõe informações cadastrais tanto em bases públicas como privadas. No caso do vazamento denunciado pela Folha de S. Paulo, o cidadão fica impotente, pois não há a quem recorrer para excluir as informações da Deep Web.
Porém, ao perceber que os seus dados pessoais estão circulando na Deep Web ou outro espaço na internet, o cidadão pode e deve utilizar o instituto de petição de titular contra o controlador, ou seja, o cidadão pode entrar com uma reclamação junto à ANPD contra o órgão público ou a empresa detentora da base exposta indevidamente.
O canal online de atendimento para que titulares de dados entrem com a reclamação formal traz as orientações de passo a passo e recomenda que antes do peticionamento o titular entre em contato com o órgão e/ou com a empresa e junte documentos e comprovações referentes ao vazamento. Assim, a reclamação tende a ser mais efetiva. A petição pode ser feita por este link.
A estratégia de monitoramento permite ao titular assumir mais controle sobre os dados pessoais. Mesmo com todos os cuidados, pode acontecer de suas informações vazarem. Para você não virar um refém do monitoramento sistemático do CPF, a Serasa tem um serviço que alerta para incidentes envolvendo informações do assinante: o Serasa Premium.
O Serasa Premium é um recurso que gera relatórios periódicos e alerta sobre movimentações suspeitas para que o titular possa agir antes que o problema fique fora de controle. Vale a pena conhecer a ferramenta se você quiser ficar mais protegido.